Logo ImpresaCity.it

GDPR: multa in arrivo per British Airways

Sanzione GDPR da 200 milioni di euro per un furto di dati personali del 2018, eseguito creando un finto sito della compagnia aerea

Redazione Impresacity

Non ci sono solo i classici "data breach" che possono portare a sanzioni per violazione del GDPR. Ora lo sperimenta British Airways, che sta probabilmente per ricevere una megamulta da circa 184 milioni di sterline per un furto di dati personali eseguito in maniera molto diversa. Al cambio attuale la sanzione è pari a circa 204 milioni di euro.

La multa sarà comminata dal Information Commissioner's Office (ICO), l'Authority britannica che si occupa anche dell'applicazione del GDPR. ICO, si sottolinea, ha agito anche in rappresentanza delle altre Authority europee coinvolte. L'incidente infatti non ha riguardato solo consumatori britannici.

Il caso risale all'anno scorso, ma le indagini del ICO si sono concluse solo da poco. Lo scorso settembre British Airways aveva notificato un incidente che comprendeva, tra l'altro, la creazione di un finto sito BA. Il traffico verso il sito lecito della compagnia aerea era stato rediretto verso questo sito ingannevole, si pensa dallo scorso giugno in poi.

cisco gdpr 1
Attraverso le finte pagine BA, criminali hanno raccolto dati personali di circa 500 mila clienti di British Airways. Tra i dati sottratti ci sono credenziali di login, nomi, indirizzi, numeri di carte di credito, dettagli dei viaggi prenotati. Questa sottrazione di informazioni è stata possibile, per ICO, a causa di misure di cyber sicurezza insufficienti.

British Airways ha collaborato alle indagini e ha migliorato la sua infrastruttura di sicurezza. Questo la pone in buona luce per ICO, tanto che ha ora l'opportunità di commentare la sanzione prevista dall'Authority. In base ai fatti presentati da BA, tale sanzione potrebbe essere anche ridotta. ICO lo deciderà insieme alle altre Authority interessate.

La Information Commissioner Elizabeth Denham ha spiegato in poche parola il senso della sanzione e di tutto il GDPR. "I dati personali - ha commentato - sono appunto quello: personali. Quando un'azienda non riesce a proteggerli da perdite, danneggiamenti o furti è più che un fastidio. Ecco perché la legge è chiara: quando vi vengono affidate informazioni personali, dovete averne estrema cura."

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di ImpresaCity.it iscriviti alla nostra Newsletter gratuita.
Se vuoi ricevere le notifiche delle notizie più importanti della giornata iscriviti al canale Telegram di ImpresaCity al link: t.me/impresacity
Pubblicato il: 08/07/2019

Speciali

Download

Gestire la sicurezza alla convergenza tra IT e OT

Speciali

La sanità alla prova della trasformazione digitale